Jump to content

Archived

This topic is now archived and is closed to further replies.

DigRam

iHaveNet.com ( ... como remover! )

Recommended Posts

Saudações!

Remova o browser hijacker iHaveNet.com,que pode corromper o sistema e redirecionar o utilizador à páginas suspeitas.O mesmo,costuma vir com rootkit e pode comprometer a Master Boot Record,requerendo trabalho especializado para o reparo. Quando não introduzem códigos na MBR,lançam tarefas maliciosas que mantêm suas nefastas ações.

iHaveNet_com_zps92a48afa.jpg << Link!

 

"Ao fazer qualquer pesquisa no google os resultados da pesquisa aparecem normalmente, porém no momento que tento entrar em algum dos endereços da pesquisa na barra de endereços do navegador aparece brevemente ihavenet e logo em seguida a pagina é redirecionada para sites aleatórios. Mais uma vez obrigado pela atenção."

(Andrétg)

 

|- Esta é reclamação dos usuários ao terem suas 'máquinas' infectadas pelo hijacker.

 

######

---

---

2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Public\AppData\Local\temp

2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Default\AppData\Local\temp

2012-10-29 12:31 . 2012-10-29 12:31 -------- d-----w- c:\users\Administrator\AppData\Local\temp

2012-10-29 12:28 . 2012-10-29 12:28 0 ----a-w- c:\windows\SysWow64\drivers\clbdriver.sys

---

---

######

 

|- Relatório do ComboFix expondo o rootkit ou Trojan.Agent e diretórios temporários,que devem ser limpos.

 

######

---

---

2012-10-29 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpda teService.exe [2012-09-20 14:33]

.

2012-10-29 c:\windows\Tasks\Fccu.job

- c:\windows\system32\rundll32.exe [2009-07-13 01:14]

.

2012-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]

.

2012-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2012-08-27 17:07]

---

---

######

 

|- Tarefa,em destaque,imposta pelo Ihavenet.com que chamada por rundll32.exe,atua como executável.

 

######

08:34:36.0625 1700 =====================================

08:34:36.0625 1700 Scan finished

08:34:36.0625 1700 =====================================

08:34:36.0640 5212 Detected object count: 0

08:34:36.0640 5212 Actual detected object count: 0

08:34:42.0943 2828 Deinitialize success

######

 

|- A investigação com a ferramenta TDSSKiller,nada detectou de malicioso.

 

================= FIREFOX ===================

.

FF - ProfilePath - C:\Users\Andre\AppData\Roaming\Mozilla\Firefox\Profiles\8rckvol4.default\

 

Firefox_Perfil_zps15d62ac1.jpg

 

|- Havendo redirecionamentos ao utilizar o Firefox,recomendo deletar 8rckvol4.default em ProfilePath.

|- Mas,primeiramente,estabeleça novo perfil na solução do problema.

 

... outra ocorrência!

 

######

---

---

[2012/10/15 07:30:27 | 000,090,112 | RHS- | C] () -- C:\WINDOWS\System32\cscuii.dll

[2012/10/15 07:30:27 | 000,000,312 | ---- | C] () -- C:\WINDOWS\tasks\AIII.job

---

---

######

 

|- Relatório da OTL que mostra tarefa e ficheiro ( cscuii.dll ),responsáveis pelo Ihavenet.com.

 

######

13:38:13.0218 4704 Scan finished

13:38:13.0218 4704 ==========================================

13:38:13.0234 2400 Detected object count: 1

13:38:13.0234 2400 Actual detected object count: 1

13:38:37.0156 2400 sptd ( LockedFile.Multi.Generic ) - skipped by user

13:38:37.0156 2400 sptd ( LockedFile.Multi.Generic ) - User select action: Skip

13:38:56.0000 3040 Deinitialize success

######

 

|- A investigação com a ferramenta TDSSKiller,detectou apenas objetos suspeitos.

 

.... outra ocorrência!

 

######

10:39:44.0252 4960 [ A36C5E4F47E84449FF07ED3517B43A31 ] \Device\Harddisk0\DR0

10:39:44.0752 4960 \Device\Harddisk0\DR0 ( TDSS File System ) - warning

10:39:44.0752 4960 \Device\Harddisk0\DR0 - detected TDSS File System (1)

######

 

|- Ps: Em infecções mais severas,podemos encontrar o rootkit "TDSS" e a MBR comprometida.

 

abmvI4ia.jpg

 

|- Podemos exemplificar,neste caso,partição criada pelo bootkit que deve ser removida.

 

diskmgmt_msc_zps71d9a46b.jpg

 

|- Para acessar,abram o Gerenciador de disco.

|- Vão ao "Executar" e digitem o comando diskmgmt.msc >> OK.

 

(((((((((((((((( Arquivos/Ficheiros criados de 2012-12-09 to 2013-01-09 ))))))))))))))))))))))))))))

.

.

2013-01-09 19:30 . 2013-01-09 19:30 -------- d-----w- c:\users\Default\AppData\Local\temp

2013-01-09 19:28 . 2013-01-09 19:28 0 ----a-w- c:\windows\SysWow64\drivers\clbdriver.sys

-------

-------

#######

 

|- Novos casos,com o mesmo Trojan.Agent.

|- Ps: Curiosamente,o usuário não cita direcionamento ao iHaveNet.com.

 

#######

Conteúdo da pasta 'Tarefas Agendadas'

.

2013-01-09 c:\windows\Tasks\Adobe Flash Player Updater.job

- c:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-20 16:52]

.

2013-01-09 c:\windows\Tasks\Axbx.job

- c:\windows\system32\rundll32.exe [2009-07-13 01:14]

-------

-------

#######

 

|- Tarefa que mantém o malware.

 

... Fica em aberto,para novas introduções!

 

A+

Share this post


Link to post
Share on other sites

×

Important Information

Ao usar o fórum, você concorda com nossos Terms of Use.